I.S. BLOG

以下提出了兩個精選的文章出來(詳參文後連結)，且個資在台灣已立法進行保護有好一段時間，而自己也曾經做過相關的系統規劃，整理一下心得分享給大家。

本篇暫且拋開複雜的稽核方法，最基本的個資防護，最開始且重要的就是要知道「誰」存取了個資，後半段則是知道個資流向什麼地方，先做好基礎建設後才能討論和規劃後面的方法論。
 

前半段的工作可以由程式開發人員在程式中寫Log或是規劃中有意的去做收集，要完成良好的規劃，不造成系統負擔，會需要一些經驗，但不難，難的是在該記錄做為法庭證據時，要如何證明公司不會去進行竄改；而後半段的工作則顯得要困難的多，不大可能靠IT人員自行解決這類問題。

 

誰存取了個資

個資存取記錄 : 目前國內談到這個議題，多半都是用資料庫稽核這個軟體，搭配程式開發人員修改應用軟體完成。國內比較有名的產品如IBM的Guardium、Imperva的DAM、以及其它如Chakra、Novell、Chalet等等…都可供參考；如果前兩者個產品適合用於難以修改且架構複雜的套裝軟體如Oracle或SAP ERP、CRM等系統，且需要一定的預算才能進行，而自行開發的系統則比較適用其它家產品，價格天差地遠。

至於記錄的不可竄改性，在這一類資料庫稽核軟體多半都有提供，問題並不大，更這幾年區塊鏈的技術如果公司能夠掌握，也有機會自行開發。

國泰航空為什麼記錄被看光還要這麼長時間才能夠說明，這我不得而知，但是如果系統複雜，那麼對資料真的很花人力和精神，才能釐出一點頭緒，表面上Guardium和Imperva DAM看似不相上下，但個人經驗是如果該系統個資極其重要，且該系統的架構複雜，且收錄功能和資料完整性要最高，建議選擇 G 牌，如果功能和資料完整性可以有點折扣，想適用多套系統而不會導致預算過高，則可以選 I 牌。

G牌是以機器的CPU core數計價，I牌則是以每秒多少流量內採單一授權計價，I牌在硬體架構上個人覺得不太聰明，但可以透過不同方式佈建，想了解可以來信再分享及討論。

 

 

個資流向什麼地方

個資流出追蹤 : 就我參考相關解決方案，Symantec的Endpoint算是蠻完整的，可以做到透過各式流出方式的記錄，並且建立流出資料的複本，在國內金融業使用較普遍，但因其高價的授權費用，一般公司可能付擔過於沉重，再者就是軟體永遠防不了人的刻意流出行為，所以這一段要不要導入，就見人見智了。

總結來說，個資的保護是一門認真起來需要全面準備的事情，一般公司因代價太高不太可能做全面性防護，而歐盟在今年又提出極為嚴格的一般資料保護規定（General Data Protection Regulation，簡稱GDPR）: 詳參文後連結，評估時，自己的公司到底有多重視這件事，就會成為你有多少預算做防護的依據，衷心希望讀者們都能夠有相對合理的預算進行專案，如果沒有頭緒，也歡迎來信一同討論。

參考資料 :
護照、信用卡號被看光，國泰航空隱瞞940萬旅客個資外洩長達半年
沒有人是局外人！史上最嚴個資法衝擊全球，帶你搞懂什麼是GDPR

鴻展 russell.chiu@udngroup.com